Discussion :

[dib258]

Bonjour,

J'aimerais bien savoir quel sont les possibilités pour protéger des données transitant sur un de mes sites le plus surement.

Imaginons que j'ai un code secret ultime qui est essentiel à la vie de ma société et qui entre les mains d'une mauvaise personne pourrait détruire la planète. (ok, j'exagère mais c'est pour vous présentez le problème plus concrètement )

Donc mon but est de permettre à des personnes d'écrire un message et qu'il soit crypter avant qu'une autre personne ne le lise (cette personne est une personne connue de mon site)

Donc ce que j'aspire à faire est de pouvoir permettre à une personne de mon site d'écrire un messages quelque soit il (en alphabet latin bien sur ). Et qu'il soit lisible par une autre personne et que celle ci.

Et j'aimerais que ce message reste crypté pour n'importe qui, dans tous les cas possible. (qu'une personne malveillante puisse par exemple si je stoque les données trouvé un moyen de s'introduire dans celle ci et lire le message. Ou bien encore que l'on intercepte ce message lorsque la personne qui lit ou écrit fait une requette et demande le dit message. Ou encore qu'elle trouve le mot de passe et pseudo de ma personne en question. Ou tout autre figure capable de prendre possession de ce message.) Et qu'il soit lisible que pour la personne concernée.

J'ai pensé à crypté le message via une clé que les deux personnes choissise au préalable. Mais j'imagine que via un bruteforce et quelque temps de patience, on peut trouver la clé et décrypter le tout.

Bref je vous demande en terme de sécurité (PHP et autre) Quel sont les meilleurs moyen qui réponde à ma demande !

Merci d'avance

[jobherzt]

c'est pas clair ton truc.. le message en question doit il etre ecrit a partit du site ? doit il etre lisible sur le site ?

dans tous les cas, un systeme type RSA te conviendra surement. regarde du cote de thunderbird avec l'extension enigmail ! et pour ce qui est du brute force, suffit de choisir un mot de passe un peu long....

[dib258]

Bah je pensais avoir été clair...

Une personne (via le site) écrit un message et l'envoie soit dans un fichier spécial ou sur une BDD.

Le message est crypté pour que personne ne puisse le prendre.

Le message reste stocké tantot qu'il n'est plus solicité.

Le message est prit une fois demandé. Et est décrypté par un moyen quelconque mais qui soit possiblie uniqement par la personne ciblée et pas une autre personne qui aurait réussi à intercepté ce message crypté...

[mathieu]

Attention en français on dit "chiffrer" et "déchiffrer"

Tu trouveras plusieurs fonctions de chiffrement là :
http://php.net/mcrypt

[jobherzt]

et n'oublie pas que pour que la securité soit garantie, il faut que la connection a ton site se fasse de maniere sécurisé, cad en https... si tu ne peux pas faire ca, alors il faudra que le chiffrement et le dechiffrement soient fait en local.

apres, de 2 choses l'une :

- soit il est facile pour les 2 parties de convenir d'un mot de passe, et dans ce cas utilise un cryptage symétrique comme AES ou Blowfish
- soit c'est compliqué de se metre dacord sur un mot de passe, et dans ce cas tu dois mettre en place un systeme a cle publique/privé ce qui est un poil plus delicat (mais pas trop..)

[dib258]

Et pour avoir une connexion sécurisée (https) est ce que je dois avoir un serveur spécial ? ou bien sur un bête serveur je peux mettre en place quelque chose pour pouvoir avoir mon serveur sécurisé ?

Et tu peux m'expliquer en quelque mots (mais plus détaillé) le système de clé publique et/ou privé ?

Merci d'avance

Edit : Complètement rien avoir avec le sujet mais est ce que c'est normal que developpez.com est inaccessible ? ou bien cela vient de moi ?

[jobherzt]

pour le hs : oui, apparemment ils ont une grosse panne

pour le https : oui, il faut que ce service te soit explicitement offert par ton hebergeur.

pour le systeme a cle publique, je suppose que tu sais comment ca marche.. sinon : http://fr.wikipedia.org/wiki/Cryptog...C3%A9_publique

pour l'implementation : pour chaque utilisateur qui va utiliser ton truc, tu cree un systeme d'inscription qui leur permet de s'identifier sur ton site. tu cree pour chacun une paire de cle, et tu stocke la cle privée sur le site en la cryptant avec le mot de passe utilisé pour s'authentifier, ou un autre par prudence. ensuite, quand qqn veut envoyer un message :

tu genere une cle symetrique aleatoirement
tu crypte le message en utilisant cette cle et un systeme symetrique comme AES
tu crypte la cle en utilisant la cle publique du correspondant.


et tu envoie le tout.